Jahr 2005 | Jahr 2004 | Jahr 2003 | Jahr 2002 | Jahr 2001 |
Dezember 2004
W32/Zafi.d (14.12.04)
Alias Namen: W32/Zafi.d@MM , Email-Worm.Win32.Zafi.d, Nocard.A@mm, W32.Erkez.D@mm, Nocard.A@mm, WORM_ZAFI.D
Verbreitung: Netzwerk-Tauschbörsen & E-Mail (gefälschte Absender)
Betreff/Subject: Merry Christmas! / boldog karacsony... / Feliz Navidad! / ecard.ru / Christmas Kort! / Christmas Vykort! / Christmas Postkort! / Christmas postikorti! / Christmas - Kartki! / Weihnachten card. / Prettige Kerstdagen! / Christmas pohlednice / Joyeux Noel! / Buon Natale!
Mailtext: Verschieden, in den meisten Fällen Weihnachtsgrüsse in unterschiedlichen Sprachen (ähnlich wie "Betreff/Subject". Darunter jeweils den Namen der gefälschten Absenderadresse.
Dateianhang: Variiert stark, mögliche Dateiendungen: .bat, .cmd, .com, .pif, .zip - Dateigrösse ca. 11 bis 12 KB. Bei den Dateiendungen ist jedoch darauf zu achten, dass auch dieser Wurm mehrere Dateiendungen hinter den Dateinamen setzt, wie z.B. "link.weihnachten.index.gif3020.cmd. Für Windows ist immer die zuletzt stehende Endung von Bedeutung!
Erkennbare Anzeichen einer Infektion: Eine vorgetäuschte Fehlermeldung "CRC: 04F7Bh - Error in packed file!". Datei "Norton Update.exe" im Windows - Systemverzeichnis. Im Laufwerk "c:\" die Datei "s.cm".
Bekannte Schäden: E-Mail Versand, löscht Dateien, installiert Backdoor (Port 8181), einige Programme können nicht mehr gestartet werden.
Informationen Englisch: TrendMicro | CA | McAfee | Kaspersky |
Informationen Deutsch: Symantec | Sophos |
November 2004
W32/Sober-I (20.11.04)
Alias Namen: W32/Sober.j@MM, Sober.H@mm, Trojan.Win32.VB.qa, W32.Sober.I@mm, Worm_Sober.I
Verbreitung: E-Mail
Betreff/Subject: Sehr unterschiedlich, deutsche oder englische Texte möglich - siehe Links zu weiterführenden Informationen am Ende diese Meldung.
Mailtext: Sehr unterschiedlich, deutsche oder englische Texte möglich - siehe Links zu weiterführenden Informationen am Ende diese Meldung.
Dateianhang: Mögliche Endungen lauten: bat, .com, .pif, .scr, .zip, Grösse ca. 56 KB, Dateinamen sehr unterschiedlich und in deutscher oder englischer Sprache möglich. Siehe auch hierzu die ausführlichen weiterführenden Informationen zu den AV-Herstellern.
Erkennbare Anzeichen einer Infektion: Eine vorgetäuschte Fehlermeldung "WinZip Self-Extractor | WinZip_Data_Module is missing ~Error: {2A0DCCF6}" wurde angezeigt. Die Existenz einer Datei im Windows - Systemverzeichnis kann an dieser Stelle nicht exakt benannt werden, da der Wurm immer wieder neue Dateinamen aus einer "internen" Listen zusammensetzt. Es sollte die bekannten "Run-Einträge" in der Windows-Registry durchgeführt werden. Mögliche Dateinamen siehe weiterführende Informationen der AV-Hersteller.
Bekannte Schäden: E-Mail Versand, lädt Schädling aus dem Internet aus einer internen URL-Liste (Webadressen) herunter, manipuliert (wie die meisten Würmer) die Registry.
Informationen Englisch: McAfee | TrendMicro | CA | F-Secure | Sophos | Kaspersky |
Informationen Deutsch: Symantec | H+BEDV |
Oktober 2004
W32/Bagle-AV (30.10.04)
Alias Namen: W32/Bagle.bd@MM, W32.Beagle.AW@mm, Win32.Bagle.AR, Email-Worm.Win32.Bagle.au
Verbreitung: Netzwerk-Tauschbörsen & E-Mail
Betreff/Subject: Re: / Re: Hello / Re: Hi / Re: Thanks :) / Re: Thank you!
Mailtext: :) / :))
Dateianhang: Dateinamen "Price", "price" oder "Joke", mögliche Dateiendungen: .exe, .scr, .cpl, .com
Erkennbare Anzeichen einer Infektion: wingo.exe im Windows - Systemverzeichnis
Bekannte Schäden: Installiert Backdoor (Port 81 offen), E-Mail Versand, deaktiviert Firewall- und AV-Programme, deaktiviert Internetverbindungsfreigabe und das Sicherheitscenter (betriff XP Service Pack 2). Der Wurm löscht sich am 25.04.2006 selbst.
Informationen Englisch: McAfee | Kaspersky | CA | F-Secure | Symantec |
Informationen Deutsch: TrendMicro |
W32/Bagle-AU (29.10.04)
Alias Namen: W32/Bagle.bb@mm, WORM_BAGLE.AT, W32/Bagle.BC.worm, W32/Bagle-AU, I-Worm.Bagle.at
Verbreitung: E-Mail und Netzwerk-Tauschbörsen
Betreff/Subject: Re: Hi / Re: Thanks :) / Re: Thank you! / Re: Hello / Re:
Mailtext: :) / :))
Dateianhang: Dateinamen "Price", "price" oder "Joke", mögliche Dateiendungen: .exe, .scr, .cpl, .com
Erkennbare Anzeichen einer Infektion: wingo.exe im Windows - Systemverzeichnis
Bekannte Schäden: Installiert Backdoor (Port 81 offen), E-Mail Versand, deaktiviert Firewall- und AV-Programme, deaktiviert Internetverbindungsfreigabe und das Sicherheitscenter (betriff XP Service Pack 2). Der Wurm löscht sich am 25.04.2006 selbst.
Informationen Englisch: McAfee | Sophos | F-Secure | Kaspersky |
Informationen Deutsch: TrendMicro | Symantec |
August 2004
W32/Bagle-AQ (09.08.04)
Alias Namen: W32/Bagle.aq@MM, HTML_BAGLE.AC, I-Worm.Bagle.al, W32.Beagle.AO@mm, W32/Bagle.AM.worm
Verbreitung: Netzwerk-Tauschbörsen und E-Mail mit gefälschten Absendern.
Betreff/Subject: kein Betreff, Zeile leer
Mailtext: new price / price / oder auch Password bzw. The Password is - Die beiden letzten Texte jedoch nur, wenn der Dateianhang mit einem Passwort geschützt ist.
Dateianhang: price.zip, price2.zip, price_08.zip, price_new.zip, 08_price.zip, newprice.zip, new_price.zip, new__price.zip jeweils ca. 15 KB gross.
Erkennbare Anzeichen einer Infektion: windirect.exe und windll.exe im Windows - Systemverzeichnis
Bekannte Schäden: Installiert Backdoor, E-Mail - Massenversand versucht Antivirus - Programme zu deaktivieren.
Informationen Englisch: McAfee | Sophos | Symantec | F-Secure |
Juli 2004
W32/MyDoom.m (26.07.04)
Alias Namen: W32/Mydoom.f@MM, WORM_MYDOOM.M, I-Worm.Mydoom.m, W32/MyDoom-O, W32/Mydoom.o@MM
Virentyp: Wurm (ca. 30 KB - kann variieren)
Verbreitung: Über E-Mail und Netzwerkfreigaben. Betreffzeilen, Mailtexte und Dateinhänge können recht stark variieren, jedoch immer in englischer Sprache abgefasst, Infos siehe z.B. hier.
Erkennbare Anzeichen einer Infektion: services.exe (ca. 9 KB) und java.exe (ca. 29 KB) im Windows- bzw. Temp - Verzeichnis.
Bekannte Schäden: Durchsucht infiziertes System in Dateien bestimmter Endungen nach Mailadressen. Stellt auch Anfrage an diverse Suchmaschinen um dort weiter Mailadressen zu finden, an die sich der Wurm mittels seiner eigenen SMTP-Routine (quasi eingebautes "Mini-Mailprogramm") ebenfalls versendet. Installiert Backdoor auf dem System (Prozess-Name "services.exe" im Windows- oder Temp - Ordner). Mydoom.M verfügt sogar über eine sogenannte "Black-List" von Zeichenfolgen, die er mit den gefundenen Mailadressen "abgleicht" und sich an diese nicht verbreitet, sollte diese Zeichenkette darin enthalten sein. Der Wurm verschickt sich z.B. nicht an "abuse@...diedomain...de". Unter den weiterführenden Links der AntiVirus Hersteller sind weitere Merkmale zu finden, wie z.B. mögliche Betreffzeilen der Mails und wie sich die Mailtexte zusammensetzen können.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: McAfee | Sophos | F-Secure | Symantec | BitDefender | TrendMicro |
Informationen Deutsch: Sophos | H+BEDV | Ikarus |
Mai 2004
W32/Korgo (03.06.04)
Alias Namen: W32.Korgo.F, W32/Korgo.worm.gen, Win32.Lsabot, Worm.Win32.Padobot.e, WORM_KORGO.F, Padobot
Virentyp: Wurm (ca. 11 KB)
Verbreitung: Über Netzwerk, nutzt dabei Sicherhheitlücke "LSASS (Local Security Authority Subsystem Service)" des Windows - Betriebssystems. Achtung! - NICHT über E-Mail!!!
Erkennbare Anzeichen einer Infektion: Eintrag in der Registry unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run --- "Disk Defragmenter" = C:\WINDOWS\System32\[wechselnder Name] .exe
Bekannte Schäden: Verursacht Systemabstürze, installiert Backdoorprogramm, versucht Sasser Wurm unschädlich zu machen (wenn man hier von einem "Schaden" sprechen kann...). Wer bereits entsprechende Vorsorgemassnahmen gegen den Sasser Wurm getroffen hat, wird von Korgo nicht heimgesucht, da dieser genau die gleiche Sicherheitslücke ausnutzt, wie Sasser.
Gegenmittel: Zur Vorbeugung und auch Nachsorge wird DRINGEND empfohlen den entsprechenden Sicherheitspatch der Firma Microsoft zu installieren!!! Nur entfernen reicht nicht aus, da der Wurm wiederkehren kann!!! Entfernung als kostenloses Removal Tool bei uns erhältlich .
Informationen Englisch: TrendMicro | McAfee | F-Secure | Symantec | Sophos | BitDefender |
Informationen Deutsch: H+BEDV | Sophos |
W32/Sasser (02.05.04)
Alias Namen: Worm/Sasser.A, WORM_SASSER.A, Worm.Win32.Sasser.a, W32.Sasser.Worm
Virentyp: Wurm (ca. 15 KB)
Verbreitung: Über Netzwerk, nutzt dabei Sicherhheitlücke "LSASS (Local Security Authority Subsystem Service)" des Windows - Betriebssystems. Achtung! - NICHT über E-Mail!!!
Erkennbare Anzeichen einer Infektion: "avserve.exe", "avserve2.exe" oder "skynetave.exe" (es gibt mehrere Wurm-Varianten) im Windows Verzeichnis, Fehlermeldung Absturz des Dienstes LSA Shell - Rechner fährt von alleine herunter und startet immer wieder neu.
Bekannte Schäden: W32/Sasser scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die ebenfalls diese Sicherheitslücke aufweisen und verbreitet sich über diesen Wege weiter. Lädt den Wurm von infizierten Systemen via FTP nach (über Port 5554). Verursacht Systemabstürze (siehe unter "Erkennbare Anzeichen...). Legt Eintrag in der Registry zwecks Autostart an, kopiert sich mehrfach unter verschiedenen Namen in das Windows - Verzeichnis. Diese Kopien tragen Dateinamen nach dem Muster "xxxxx_up.exe" (wobei "x" für ein zufällig gewählte Ziffernfolge steht) Lokale Schäden wie z.B. Datenveränderungen oder -verluste sind nicht bekannt.
Gegenmittel: Zur Vorbeugung und auch Nachsorge wird DRINGEND empfohlen den entsprechenden Sicherheitspatch der Firma Microsoft zu installieren!!! Nur entfernen reicht nicht aus, da der Wurm wiederkehren kann!!! Entfernung als kostenloses Removal Tool bei uns erhältlich oder von Symantec ,"Stinger" von McAfee
Informationen Englisch: Sophos | McAfee | Symantec | F-Secure | Norman | CAI |
Informationen Deutsch: H+BEDV | Ikarus | TrendMicro |
April 2004
W32/Sober.f (04.04.2004)
Alias Namen: W32/Sober.f@MM, Sober.F, WORM_SOBER.F, I-Worm.VB.C
Virentyp: Wurm, Grösse um 42 Kilobyte
Verbreitung: Über E-Mail mittels einer eigenen SMTP-Routine (also eigenes "Mini-Mailprogramm" im Wurm integriert)
Betreff/Subject: Unterschiedlich - deutsche und englische Texte möglich (siehe auch weiterführende Links)
Mailtext: Unterschiedlich - deutsche und englische Texte möglich (siehe auch weiterführende Links)
Dateianhang: Unterschiedlich, deutsche und englische Dateinamen möglich, auch variabel. Dateiendungen ".zip" oder ".pif" möglich. ZIP-Dateien enthalten jedoch ebenfalls eine PIF-Datei (z.B. Pmessage-text.txt .pif - Die Leerzeichen sind vom Wurmautor so gewollt, damit auch kritischen Betrachtern zunächst nur die Endung ".txt" ins Auge fällt)
Erkennbare Anzeichen einer Infektion: SYST32WIN.DLL im Windows - Systemverzeichnis.
Bekannte Schäden: Legt Registry-Einträge und kopiert mehrere Dateien in das Windows - Systemverzeichnis. Sober.f sucht Mailadressen aus einer Vielzahl von Dateien eines infizierten Systems um sich an diese zu versenden. Der Wurm enthält auch eine "Negativliste" um sich an bestimmte Mailadressen nicht zu verschicken, dazu gehören auch diverse Anbieter von AntiVirus - Programmen. Für uns liegt übrigens die Vermutung nah, daß die gesamte "Sober-Familie" aus dem deutschsprachigen Raum stammen könnte.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: McAfee | TrendMicro | F-Secure | Symantec | CAI |
Informationen Deutsch:
Februar 2004
W32/Bagle.b (18.02.2004)
Alias-Namen: W32.Alua@mm, Worm/Bagle.B, Win32:Beagle-B, I-Worm/Bagle.B, W32/Bagle.b@MM, Win32.Bagle.B, W32/Tanx-A
Virentyp: EXE-Wurm, Grösse ca. 11 Kilobyte
Verbreitung: Über E-Mail mittels einer eigenen SMTP-Routine (also eigenes "Mini-Mailprogramm" im Wurm integriert)
Betreff/Subject (bei E-Mail): ID <zufällige Zeichenfolge, variiert> ... thanks
Mailtext: Yours <zufällige Zeichenfolge, variiert> -- Thank
Dateianhang (bei E-Mail): <zufällige Zeichenfolge, variiert>.exe
Erkennbare Anzeichen einer Infektion: "au.exe" im Windows-Verzeichnis
Bekannte Schäden:
Legt Autostarteintrag in der Registry an. Durchsucht Dateien bestimmte Endungen auf dem infizierten System nach Mailadressen, an die sich der Wurm automatisch verschickt. Installiert Backdoor (Port 8866). Der Wurm verfügt über eine Update-Routine und kontaktiert dazu diverse Webseiten im Internet. Bagle.b deaktiviert sich am 25.02.2004. Lokale Schäden (z.B. Datenverlust) auf infizierten Systemen konnten bisher nicht festgestellt werden.
Gegenmittel:
als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: Symantec | BitDefender | McAfee | Kaspersky | CAI | F-Secure |
Informationen Deutsch: H+BEDV | TrendMicro | Sophos |
Januar 2004
W32/Mydoom - Variante A & B (27.01.2004)
Alias-Namen: Worm/MyDoom, W32/Novarg@mm, Shimgapi, Win32.Mydoom.A WORM_MIMAIL.R
Virentyp: Wurm
Verbreitung: E-Mail und Shared Verzeichnisse KaZaA Netzwerke.
Betreff/Subject (bei E-Mail): Error - hello - hi - Mail Delivery System - Mail Transaction Failed - test - Server Report - Status
Mailtext: Mail transaction failed. Partial message is available ODER The message conatins Unicode characters and has been sent as a binary attachment ODER The message cannont be represented in 7-bit ASCII encoding and has been send as a binary attachment
Dateianhang (bei E-Mail): Mögliche Dateiendungen: .pif, .exe, .scr, .zip, .cmd oder .bat. Mögliche Dateinamen (bei E-Mail): body, data, doc, document, message, file, text, test, readme
Dateianhang (über KaZaA): Mögliche Dateiendungen: .pif, .exe. .bat oder .scr. Mögliche Dateinamen (bei KaZaA): activation_crack, icq2004_final, nuke2004, offic_crack, winamp5, strip-girl-2.0bdcom_patches, rootkitXP
Erkennbare Anzeichen einer Infektion: Existenz der Datei "Shimgapi.dll" im Windows System Verzeichnis. Notepad.exe (Schreib-Editor) hat sich geöffnet und "Datenmüll" angezeigt.
Bekannte Schäden: Versendet sich mittels eigener SMTP-Routine (in einfachen Worten Mini-Mailprogramm im Wurm integriert) an alle Mailadressen die der Wurm in verschiedenen Dateien bestimmter Endungen finden kann. Jedoch werden auch wahllose Mailadressen (zum Teil aus einer Namensliste) "generiert", welches wiederum bei ungültigen Adressen zu Rückläufern unbeteiligter Personen führen kann. Am dem 12.04.2004 soll der Wurm sich nicht mehr verbreiten, jedoch die Backdoor - Kompnente bleibt aktiv. Lokale Schäden (z.B. Datenverluste) erfolgen nicht. Installiert Backdoor Komponente, potenzielle Angreifer können über TCP Ports 3127 bis 3198 auf das infizierte System zugreifen. Startet am 01.02.04 eine DOS-Attacke auf die Webseite "sco.com".
Update 28.01.2004 - Neue Variante "B" im Umlauf!
Zwischenzeitlich befindet sich eine Variante B von "Mydoom" im Umlauf. Die wesentlichen Unterschiede bestehen darin, dass der Wurm nicht nur ein DOS-Attacke auf "sco.com", sonder auch auf "microsoft.com" startet. Mydoom.b modifiziert die Host-Datei dahingehend, dass die meisten Webseiten / Domains der AntiVirus Hersteller nicht mehr zu erreichen sind um sich Rat, Hilfe und entsprechende Updates einzuholen. Weitere Infos speziell zur Variante "B" auf den englischsprachigen Seiten von McAfee.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: TrendMicro | F-Secure | BitDefender | Kaspersky | McAfee | Symantec | CAI | Norman |
Informationen Deutsch: H+BEDV | BitDefender | Sophos | Ikarus |
W32/Bagle.a (19.01.2004)
Alias-Namen: WORM_BAGLE.A, I-Worm.Bagle, W32/Bagle@MM, W32.Beagle.A@mm, W32/Bagle-A, Bagle, Win32.Bbgle.A@mm
Virentyp: Wurm (ca. 15 KB)
Verbreitung: Über E-Mail und "Peer To Peer Netzwerke".
Betreff/Subject (bei E-Mail): Hi
Mailtext: Test=) - danach zufällige Zeichenfolge z.B. "frjujs.exe" (stark abweichend!) -- Test, yep.
Dateianhang: Zufällige Zeichenfolge, EXE-Endung, Symbol des Windows-Taschenrechners
Erkennbare Anzeichen einer Infektion: Existenz der Datei bbeagle.exe im Windows-Systemverzeichnis.
Bekannte Schäden: Beim ersten Start wird zwecks Tarnung der Windows Taschenrechner gestartet. Verschickt sich an alle Mailadressen, die der Wurm auf dem lokalen System in Dateien verschiedener Endungen finden kann. Installiert eine "Hintertür" (Fachsprache: Backdoor), der den Zugriff von aussen auf das System ermöglich. Kontaktiert bestimmte, entfernte Webseiten. Legt Eintrag in der Registry an, damit der Wurm sich bei jedem Windowsstart ebenfalls ausführen kann. Am 28.01.2004 löscht der Wurm sich selber bzw. erfolgt durch den Wurm keine Infektion mehr.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: BitDefender | McAfee | F-Secure | Symantec | CAI | Norman | Kaspersky |
Informationen Deutsch: H+BEDV | BitDefender | TrendMicro | Sophos |
